Moin!

Ich bin gerade mit meinem Script für die MItglieder Registrierung fertig geworden. Mein Problem ist aber dass eine Person die sich Registreirt hat, gleich sich gleich einloggen kann ohne seine Email Adresse zu bestätigen.

Kann mir vieleicht jemand erklären wie ich so eine Bestätigung machen kann ?

Offensichtlich darf sich ein Mitglied erst einloggen, wenn es die Mailadresse bestätigt hat. Also brauchst du in der DB mindestens ein Feld für "hat bestätigt: ja/nein", und darfst den Login nur denen erlauben, die bestätigt haben.

Die Bestätigung erhältst du am einfachsten, indem du per Mail einen geheimen, nicht erratbaren Wert an das neue Mitglied sendest, welches diesen Wert dann auf deiner Webseite nochmal zur Bestätigung eingeben muss.

Das kann passieren, indem du beim Loginversuch, der aufgrund der fehlenden Bestätigung scheitert, einfach ein Formularfeld anbietest, in dem dieser geheime Wert einzutragen ist. Oder die Mail enthält direkt einen Link, der ein Skript startet und Username sowie geheimen Wert übermittelt, und dadurch die Bestätigung der Mail in die Datenbank einträgt.

Der geheime Wert sollte einen Zufallsfaktor enthalten, also gerne eine zufällige Zahl. Du kannst natürlich auch einen String aus Anmeldedaten plus Zufallszahl bilden und davon die MD5-Hashsumme bilden. Egal, wie du zu deinem zufälligen Wert kommst, am besten speicherst du ihn ebenfalls in der Datenbank ab, damit du prüfen kannst, ob der User und sein zufälliger Wert, den er zurück übermittelt, auch übereinstimmen.

- Sven Rautenberg